Persondataretlige nyheder – april 2021
Udvalgte afgørelser inden for persondata fra april:
Datatilsynet udtaler kritik for brug af ikke-opdateret version af TLS
I forbindelse med en sag taget op af egen drift, konstaterede Datatilsynet, at politiets selvbetjeningsløsning til ansøgning om våbentilladelser (www.digimeld.politi.dk/vaaben/HTML/index.aspx?type=p70401), hvor man i forbindelse med ansøgningen bl.a. skal indtaste sit personnummer, advarer om, at siden anvender svag kryptering, og at uvedkommende som følge heraf har mulighed for at tilgå de oplysninger, der indtastes.
Løsningen understøtter alene TLS version 1.0., men Rigspolitiet anførte, at denne version var den højeste, som den pågældende løsning kunne understøtte, og at der blev arbejdet på at udskifte den.
Datatilsynet udtalte, at formularer og webløsninger til håndtering af personoplysninger stiller krav til sikkerheden, herunder særligt at den dataansvarlige skal sikre, at personoplysninger ikke kommer til uvedkommendes kendskab. Oplysninger af beskyttelsesværdig karakter, herunder oplysninger om personnummer, skal derfor sikres på en måde, hvor indholdet ikke kan tilgås af uvedkommende, hvilket kan ske ved kryptering på transportlaget (TLS) i version 1.2 eller derover.
Datatilsynet fastslog, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles. Datatilsynet fandt derfor grundlag for at udtale kritik af, at Rigspolitiets behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Bøde for videregivelse af videoovervågning
Den norske databeskyttelsesmyndighed, Datatilsynet, har pålagt Miljø- og Kvalitetsledelse AS, der driver en bilvask, en bøde på NOK 35.000 for ulovlig videregivelse af personoplysninger fra en videoovervågning.
I forbindelse med noget hærværk på en betalingsterminal sendte Miljø- og Kvalitetsledelse AS optagelser og information fra vaskeanlæggets videoovervågning uopfordret til arbejdsgiveren for den person, som Miljø- og Kvalitetsledelse AS mente havde udført hærværket.
Datatilsynet fandt, at videregivelsen manglede et juridisk grundlag og var i strid med databeskyttelsesforordningens artikel 6 nr. 1 og artikel 5, nr. 1, litra a. Optagelserne var allerede overdraget til politiet, og fremsendelsen til den registreredes arbejdsgiver anså Datatilsynet som unødvendig med henblik på forebyggelse og afklaring af hærværket.
Miljø- og Kvalitetsledelse AS har en treugers appelperiode fra det tidspunkt, hvor de modtog afgørelsen.
Læs hele afgørelsen (på norsk) her.
Domstol i Haag reducerer administrativ bøde med 24 %
Det hollandske datatilsyn havde pålagt et hospital en administrativ bøde på EUR 460.000, som følge af, at hospitalet havde overtrådt databeskyttelsesforordningens artikel 32 ved ikke at sikre tilstrækkelige foranstaltninger til at beskytte patienters personoplysninger.
Bøden var fordelt med en grundbøde på EUR 310.000 med tillæg af to forhøjelser på EUR 75.000, i alt EUR 460.000, som følge af, at hospitalet ikke havde indført dobbeltfaktor autentificering, og at der ikke førtes kontrol af de regelmæssige logninger af adgangen til patientjournaler.
Sagen blev indbragt for Retten i Haag, der fandt at bøden var for høj. Domstolen anså ikke grundbøden på EUR 310.000 for urimelig, men tillægsbøderne skulle reduceres, da retten fandt, at hospitalet havde truffet en række foranstaltninger for at forhindre, at personoplysninger i de digitale patientjournaler kunne tilgås af uautoriserede medarbejdere.
Herudover havde hospitalet under indsigelsesfasen indført dobbeltfaktor autentificering og intensiveret logningen, hvilket domstolen anså som en vilje til at samarbejde, hvorfor bøden samlet set skulle nedsættes til EUR 350.000.
